Estos contenidos se han traducido de forma automática para su comodidad, pero Huawei Cloud no garantiza la exactitud de estos. Para consultar los contenidos originales, acceda a la versión en inglés.
Centro de ayuda/ Data Encryption Workshop/ Descripción general del servicio/ KMS/ Funciones
Actualización más reciente 2024-09-14 GMT+08:00
Ver PDF
Compartir

Funciones

KMS es un servicio en la nube seguro, confiable y fácil de usar que ayuda a los usuarios a crear, gestionar y proteger claves de manera centralizada.

Utiliza Hardware Security Modules (HSMs) para proteger las claves. Todas las claves están protegidas por claves raíz en HSM para evitar fugas de claves. El módulo HSM cumple con los requisitos de seguridad FIPS 140-2 Nivel 3.

También controla el acceso a las claves y registra todas las operaciones en claves con registros rastreables. Además, proporciona registros de uso de todas las claves, cumpliendo con sus requisitos de auditoría y cumplimiento normativo.

Funciones

  • En la consola KMS, puede:
    • Crear, consultar, habilitar y deshabilitar CMK, así como programar y cancelar la eliminación de CMK.
    • Modificar el alias y las descripciones de los CMK.
    • Utilizar la herramienta en línea para cifrar y descifrar datos de pequeño tamaño.
    • Agregar, buscar, editar y eliminar etiquetas.
    • Crear, cancelar y consultar concesiones.
  • Puedes usar las API para:
    • Crear, cifrar o descifrar DEK.
    • Retirar concesiones.
    • Firmar o verificar la firma de los mensajes o resúmenes de mensajes.
    • Generar y verificar códigos de autenticación de mensajes.

    Para obtener más información, consulta la Referencia de la API de Data Encryption Workshop.

  • Generar hardware verdaderos números aleatorios.

    Puede generar números aleatorios de 512 bits basados en hardware mediante la API de KMS. Los números aleatorios verdaderos de 512 bits se pueden usar como base para materiales clave y parámetros de encriptación. Para obtener más información, consulta la Referencia de la API de Data Encryption Workshop.

Algoritmos de clave soportados por KMS

Las claves simétricas creadas en la consola KMS utilizan los algoritmos AES y SM4. Las claves asimétricas creadas por KMS soportan RSA, SM2, y los algoritmos ECC.

Tabla 1 Algoritmos de clave soportados por KMS

Tipo de clave

Tipo de algoritmo

Especificaciones de clave

Descripción

Escenario de aplicación

Clave simétrica

AES

AES_256

Clave simétrica de AES
  • La encriptación y desencriptación de datos
  • Cifrado y descifrado de los DEK
    NOTA:

    Puede cifrar y descifrar una pequeña cantidad de datos utilizando la herramienta en línea en la consola.

    Necesita invocar a las API para cifrar y descifrar una gran cantidad de datos.

Symmetric key

AES
  • HMAC_256
  • HMAC_384
  • HMAC_512

Clave simétrica de HMAC

Genera y verifica un código de autenticación de mensaje

Asymmetric key

RSA
  • RSA_2048
  • RSA_3072
  • RSA_4096

Contraseña asimétrica de RSA
  • Firma digital y verificación de firma
  • La encriptación y desencriptación de datos
    NOTA:

    Las claves asimétricas son aplicables a escenarios de firma y verificación de firma. Las claves asimétricas no son lo suficientemente eficientes para la encriptación de datos. Las claves simétricas son adecuadas para cifrar y descifrar datos.

ECC
  • EC_P256
  • EC_P384

Curva elíptica recomendada por NIST

Firma digital y verificación de firma

describe los algoritmos de cifrado y descifrado compatibles con las claves importadas por el usuario.

Tabla 2 Algoritmos de envoltura de claves

Algoritmo

Descripción

Configuración

RSAES_OAEP_SHA_256

Algoritmo RSA que utiliza OAEP y tiene la función hash SHA-256

Seleccione un algoritmo basado en sus funciones HSM.

Si su HSM admite el algoritmo RSAES_OAEP_SHA_256, utilice RSAES_OAEP_SHA_256 para cifrar materiales clave.
Tema principal: KMS